这是我父亲 日记里的文字
这是他的生命 留下来的散文诗

　　最近在研究扫描器任务调度相关的东西，几番折腾后有些个人心得，心想需记录下来，避免遗忘，也当作是一种积累。之前我开发过几款扫描器（甲方内部使用），架构一直沿用：mysql（DB）+ rabbitmq（QUEUE）+ celery（调度）+ supervisor（进程监控）+ python（编程语言）。在经过一段时间的使用测试后，深感rabbitmq作为队列其架构还是过于厚重，不太适合扫描器一类的项目。当然并不是说rabbitmq就完全不适合作为扫描器的队列，而是我们应当寻求更简便的方案。

好久没更，来水一篇～！～

　　就在刚刚，我花了四百大洋租了台腾讯云香港的服务器（～心在滴血～），因此我的博客终于可以宣告回国了。PS：之前一直使用github-page，众所周知速度贼慢，后面换成了新加坡的VPS服务器，速度就更慢了，没办法只能花大价钱买国内的云服务器。博客迁移得过程比较简单，无非就是添加nginx解析，因此本篇有点水，主要为了记录一下nginx配置web服务的一些笔记。

今夕何夕故人不来迟暮连山黛

　　 之前有研究过python协程相关的知识，但一直没有进行深入探究。平常工作中使用的也还是以python2为主，然而最近的项目需要使用python3协程相关的内容，因此凑出时间学习了一番python3的协程语法。
　　 本篇主要以介绍python3.5的async/await协程语法为主，因为这种语法看上去很别扭，不容易理解。如果对python协程基础不是很了解，建议可以先看此篇：Python协程。

高考加油！

　　如果要问有哪些抓包神器或者流量分析工具？以下几款工具是必须要提的，burpsuite（跨平台）、fiddler（windows下抓包神器）、wireshark（经典网络抓包工具）、justniffer（与前面几个使用代理获取流量不一样的是，justniffer是基于网卡获取流量）等。以上这几款工具之前我有单独成文介绍过，如有需要可点击蓝色链接移步。
　　那么如果问有哪些程序化的抓包工具？（注明一下这里的程序化指的是可编程）首先burpsuite算一个，因为我们可以开发扩展工具（burpsuite插件开发之检测越权访问漏洞）；另外fiddle也算一个，可以编辑配置文件，达到扩展功能，之前也介绍过。
　　那么如果问有哪些即可以实现程序化又可以实现自动化的抓包工具？（注明一下这里的自动化是指自动产生流量）这个问题有点拗口，你可能会想为什么一个抓包工具要负责产生流量，流量交给爬虫岂不是更好？这个问题暂且放一放，继续往下看。

小孩在门前唱着歌
阳光它照暖了溪河

　　今天凑空研究了下Supervisord，这是一款linux进程管理工具，使用python开发，主要用于在后台维护进程（类似master守护进程），可以实现监控进程的状态、自动重启进程等操作，便于一些服务的维护与监控。

地是床 天是被 流星是眼泪
有时醒 有时醉 大雁飞一个来回

　　听说现在会点区块链技术的工资都高破天了，抱着对高工资的幻想，我决定也开始学一学区块链吧。那么我想接触区块链的第一步必须得是去交易平台注册个帐号，然后充点钱买0.00001个BTC了。（2333，~!~现在我穷得只剩下币了）

这雨夜太漫长 失眠的我 在谁梦里 歌唱

　　搞安全的应该都知道端口扫描在渗透测试、漏洞扫描过程中的重要性，其与URL爬虫等技术构成了漏洞扫描的第一阶段，即目标信息收集。因此能否开发出一款高效稳定的端口扫描器，往往决定了漏洞扫描器的好坏。那么说到端口扫描器，我们往往会先想到nmap、masscan等神器，它们是这个领域的标杆。但本篇并不是为了介绍这几款工具，而是谈谈如何自研一款高效稳定的端口扫描器。

你说，我们的未来
被装进棺材，染不上尘埃

　　我很早之前就想开发一款app玩玩，无奈对java不够熟悉，之前也没有开发app的经验，因此一直耽搁了。最近想到尝试用python开发一款app，google搜索了一番后，发现确实有路可寻，目前也有了一些相对成熟的模块，于是便开始了动手实战，过程中发现这其中有很多坑，好在最终依靠google解决了，因此小记一番。

那个喝醉的夜晚，挡不住我们的步伐

　　前些天公司买了些BurpSuite的License，终于可以用上正版了，先给公司来波赞！好啦，言归正传，BurpSuite作为Web安全测试的一大神器，其中一个优势就是其扩展性好。BurpSuite支持Java、Python、Ruby作为其插件的扩展语言，而在其内置的Bapp_Store中也有很多很强大的插件。作为一名程序猿，心想是时候自己动手开发一款专属插件了，抱着此心态我便开始尝试学习摸索着Coding，于是便有了此文。

也许老街的腔调，是属于我的忧伤

　　写过爬虫或者漏洞扫描器的朋友肯定遇到过一个问题，就是如何判断一个url对应的页面是个404页面，因为这对之后的逻辑判断尤为重要。然而由于存在一些特殊情况，导致404页面判断没有想象中的那么简单，这往往跟服务器配置有关。本篇作为《漫谈漏洞扫描器的设计与开发》的一个分支文章，重点谈谈如何判断一个页面是否为404页面。

纸短情长啊，诉不完当时年少，我的故事还是关于你呀

　　最近在开发web应用过程中，需要用到可视化展示功能，因此找了找Python相关的可视化模块。这里简单记录下pyecharts模块的用法。推荐它主要是因为其功能强大，可视化功能选择比较多，且使用比较简单。

磨刀不误砍柴工

　　最近需要收集一些exp，因此逛了逛exploit-db、国内exp搜索大全、seebug等几个exp收集的网站。由于需要批量获取漏洞信息以及对应的exp内容，因此心想有必要写一款爬虫去自动化收集漏洞exp。

世界の果てまで、君と離れたくない。

　　前几天在TSRC换了本《白帽子讲WEB扫描》，昨天凑空拜读了一遍。整体读下来的感觉是，书中关于WEB漏洞扫描器设计与开发所需的知识描述得比较全面，包括一些坑点也有涉及。但对于每一方面的内容描述得不够深入不够细致，适合从0开始学习设计开发漏洞扫描器的工程师，给其提供一些设计思路，避免一些不必要的坑点。当然设计开发扫描器本身就是一个很复杂的工程，作者也不可能在一本书中详细描述，再者有些坑还得自己踩过才知道。

我已爬遍了全世界，而你却迟迟不见

　　自从Google在chrome59版本后加入了 Headless Chrome，类似phantomjs、selenium等工具作者都放弃了维护自身的产品（原因可参考文章 QtWebkit or Headless Chrome）。因此作为使用者的我们也是时候放弃phantomjs，转而研究Headless Chrome了。由于网上对于Headless Chrome的资料还很少，因此我先收集整理一波，随后慢慢学习研究，渐渐将本篇内容补充完善。

好好学习，天天向上

记录与某业界大牛前辈的一次饭局谈话，话后小弟终觉获益匪浅，心想有些关键问题与解惑过程值得一记与分享，因此便有了此文。

2018年的第一场雪，比2002年来得更晚一些

　　记得之前有分享过Django开发相关的系列文章（可在博客右上方自行搜索），内容包括模版、视图、路由等。那么本篇再补充一些Django开发过程中常用到的一些功能代码块，内容涉及前端、后端相关功能代码。这些代码块都是平常开发中常用的，因此在此做个备份，方便查询。

我都寂寞多久了还是没好
感觉全世界都在窃窃嘲笑

　　又是很久没有更新博客啦，为啥呢？因为在忙开发、开发、开发。我最近在研究指纹扫描以及漏洞扫描方面的设计与开发，从前端、后端到数据存储、消息队列再到分布式部署，感觉自己简直快成全栈了。不过开发过程中也有很多收获，有时间我会写博客分享一下。

一杯敬自由，一杯敬死亡

　　标题写的比较模糊拗口，简单来说本文就是介绍如何利用python将http的api接口做加密认证，防止不法分子乱用。这里有几个前提需要说明下，首先我们要实现的是http的加密认证，因此不考虑https。其次认证的目的是为了让一个http的api接口让正确的（通过认证的）人使用，而不是任何都可以用。

一杯敬故乡，一杯敬远方

　　最近在研究未授权访问漏洞的检测方式，也写了一部分检测脚本，准确率还挺高。当然光有检测还是不够的，最好能有漏洞利用过程，这样也好证明漏洞的风险性，便于推动漏洞修复也便于自己对漏洞更深入的了解。本文关于漏洞利用以及修复的内容绝大部分转载自：安全脉搏，其实个人习惯是不喜欢全文照搬其他文章的，但无奈这篇文章总结的很好，我又没很多时间去整理，因此对其改动的不多，请读者务必谅解。

一杯敬明天，一杯敬过往

　　说到Web Api，以往我一直使用Django来写，但众所周知Django框架很厚重，用来写web Api未免显得不够简便。虽然Django有一个专门写Api的框架，Django REST Framework（适合写比较复杂的Api，后面我会单独成文介绍），但感觉还是偏厚重了点。那么有没有几行代码就能写出一个Api的方案呢？Falcon框架就是为此而生的。(除此之外，Flask等框架也可用来写Api，但个人认为最轻便的就属Falcon了)